GodLoaderは、名前の通りローダー型マルウェアです。
別の呼び方をすると、GodLoaderはクロスプラットフォームマルウェアとなっています。
どういったものでしょう。
- Godotの悪用
GodotはGodot Engineです。
これは、いろいろな環境で動くように作られたゲーム開発プラットフォームです。
サポートされた環境は非常に広く、Windows、macOS、Linux、Android、iOS、PlayStation、Xbox、Nintendo Switch、Web、といった環境がカバーされています。
一つのコードを書くと、それがこういったさまざまな環境で動作させることができるものとなります。
本来の用途では、ゲームクリエーターがゲームを一つ書くと、そのゲームはいろいろな環境の利用者の手元で動作するというものとなっています。
こんな便利なものを脅威アクターは見逃しません。
これを悪用し、クロスプラットフォームマルウェアの活動場所とします。 - リポジトリを準備
ゲームを装った配布物を配布する場所はリポジトリです。
より効果的に配布活動を展開するためには、そのリポジトリが有名になったほうが都合が良いです。
悪意ある機構を仕込む前に、無害な配布物で人気を稼ぎ、潜在的な被害者の数を大きくします。 - リポジトリで配布
人気が高まって利用者が多くなってきたら、配布の開始です。
配布するのは無害なものではありません。
有害な内容の含まれるパックファイルです。拡張子は「.PCK」です。
これはGodot Engine実行可能ファイルです。
いろいろな環境で動作する形式です。 - GodLoaderの設置
配布したパックファイルが実行されると、侵害環境にGodLoaderが設置されます。 - GodLoaderの仕事
GodLoaderはローダーですので、その仕事は道具の持ち込みです。
持ち込まれる道具はRedLine StealerやXMRig暗号通貨マイナーなどです。
脅威アクターの欲しい仕事を実施できるペイロードを持ち込みます。
ペイロードの持ち込みもリポジトリからのダウンロードの体裁となっています。
感染の流れはこのようになっていますが、他にもGodLoaderには機能が実装されています。
サンドボックス環境や仮想環境での分析をバイパスする機能を搭載しています。
マルウェアを設置したドライブをMicrosoft Defenderの除外リストに追加してマルウェアの検出を防ぐ機能も搭載しています。
確認済みのGodLoaderはWindows環境向けの内容になっています。
しかし、前述のように、感染経路はクロスプラットフォームなものを選択していますので、もっと広い環境で動作するようにすることは簡単に実現できそうです。
今回のGodot Engineを使用するという方法は、セキュリティ製品での防御という観点では非常に厳しい選択となっています。
多くのセキュリティ対策製品の解析対象にGodotスクリプトは入っていません。
つまり、検出される可能性が、現時点では非常に低いという事態になっています。
またイタチごっこは脅威アクター側のターンになっています。
GodLoaderのマルチプラットフォーム化という目先の心配だけでなく、Godot Engineという新たな脅威アクターの活動場所をさらに悪用されることへの心配も必要になりそうです。
Gaming Engines: An Undetected Playground for Malware Loaders
https://research.checkpoint.com/2024/gaming-engines-an-undetected-playground-for-malware-loaders/
この記事をシェア |
---|